プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)株式会社JMCリスクマネジメント マネジメントシステムコンサルタント 浦名 祐輔 http://rm.jmc.ne.jp/service/pm/column19.html 皆さんこんにちは。今回のテーマは3.4.1運用手順/3.4.2.1利用目的の特定です。まず、「3.4.1運用手順」の要求事項ですが、この要求事項の目的というのは、規格の本文に書いてある通り、「個人情報保護マネジメントシステムを確実に実施するため」です。そのために、運用の手順を明確にすればいいのです。必ずしも、文書化を要求しているわけではありません。手順の内容を各担当者が認識し、日常の管理業務遂行のうえで問題なく履行されるような状態にあればいいでしょう。言い換えると、文書化しないことにより、手順が適切に実施できない恐れがあるならば、文書化した方がいいと思います。皆様、このように規格で明文化されなくても自社のルールを定め、必要に応じて文書化することになると思いますので、特に気にする必要もないでしょう。では、続いて「3.4.2.1利用目的の特定」の要求事項です。この要求事項は、個人情報を取得する際の要求事項ですね。内容としては規格の文言通りで、個人情報を取得するにあたり、その利用目的をできるだけ明確に特定することを要求するものです。一般的には、本人の種類ごとに理解しやすい表現で特定します。実際に、個人情報の利用目的を特定する際、「どこまで具体性を持たせた書き方をすれば良いのか?」というのが、担当者の方のよくある悩みだと思います。経済産業省のガイドラインを見てみると、本件に関して以下のような指針が示されています。================利用目的の特定にあたっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報取扱い事業者において最終的にどのような目的で個人情報を利用するのかを可能な限り具体的に特定する必要がある。【具体的に利用目的を特定している事例】・○○事業における商品の発送、関連するアフターサービス、新商品、サービスに関する情報のお知らせのために利用致します。・ご記入頂いた氏名、住所、電話番号は、名簿として販売することがあります。・給与計算処理サービス、宛名印刷サービス、伝票の印刷、発送サービス等の情報処理サービス業として行うために、委託された個人情報を取り扱います。【具体的に利用目的を特定していない事例】・事業活動に用いるため・提供するサービス向上のため・マーケティング活動に用いるため================自社の規程を作るにあたり、具体性でお困りのようでしたら、上記の事例を参考に、自社の利用目的を定めればよろしいかと思います。なお、プライバシーマークの現地審査において、利用目的が抽象的、一般的という理由により指摘を受けている例もあります。では、“どこまで書けば具体的か”…【執筆:浦名祐輔】※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。http://rm.jmc.ne.jp/service/pm/column19.html
